用户需要什么?精准——让安全少出错

　　由于防火墙是不同网络安全域的唯一信息出入口，其通常部署于网络的“咽喉”位置，对于用户而言可谓利弊共生。利的方面是可对流经的所有数据进行检查和控制，而弊则体现于一旦误配置、误拦截则极易引发网络访问中断。

　　据了解，一般的IT管理者将网络的可用性看的更重，宁铤威胁侵入之险，也不愿接受网络中断的用户绝非少数。因此全通的访问控制策略、仅做告警不做拦截的攻击防御规则在现有防火墙配置中广泛流行，更有甚者根本不开启安全功能，使防火墙形同虚设。

　　研究表明，传统防火墙在配置访问控制策略时，常使用TCP协议端口标识需控制的流量，对于用户而言，控制一种流量则需首先确定该流量使用的端口号，无形中增加了误配置风险，用户常因拦截了错误的端口号，或封堵了其它应用复用的端口，造成计划外的业务中断。此外，传统基于签名的威胁识别技术误报率较高已是不争的事实，同样是合法流量被防火墙误拦截的主因之一。

　　“首先，我们在下一代防火墙中嵌入了多年的研究成果，中国最大的应用识别库，这个识别库中包含了超过3100种的互联网应用以及700多种移动互联网应用，用户要控制一种流量时不需要再配置端口号，直接在我们的列表中选择应用名称或功能即可。对于威胁的识别和查杀，我们创新了防火墙产品病毒云查杀技术，利用云端更加丰富的资源、更快的响应速度，使病毒、恶意程序、恶意网址等威胁的识别准确度提升了近10倍”，网康科技产品市场经理熊瑛说。

▲网康下一代防火墙内置中国最大的应用识别库

　　用户需要什么?智能——帮用户少思考

　　据调查，不重视安全管理的防火墙用户并非全部，但长期以来“无感知”、“看不懂”、“不敢动”犹如三座大山困扰着用户。多数用户反映，每当网络中发生异常情况并非不想采取措施，但往往由于对自己的判断心存疑问便迅速打消了调整配置的念头，长此以往，同样促使防火墙成了摆设。

　　产品专家表示，防火墙始终难以发挥一个分析器的作用，传统安全设备的异常输出仅能被少数专家关注并理解，面对设备提供的IP地址、端口号、流量统计等信息，并不足以帮助用户了解网络异常、及时预见风险。

　　“人永远对图形更敏感，因此基于文本的告警、日志一般很难引起用户的注意”，熊瑛表示，用户界面非常重要，同样的信息分别用文本和图形呈现出来，完全有可能产生不同的效果。除此之外，仅仅呈现统计结果，对于用户的价值并不大，用户需要的是对统计结果的进一步分析，经过分析后的信息才是真正支撑用户做出选择的依据。

　　举例来说，正如我们在生活中看到手机上的陌生号码来电，并不能判断其是否为骚扰电话，在防火墙上仅告知用户一条连接建立于哪两个IP之间，用户也很难判断其是否为恶意流量，但若为IP赋予地理位置属性，用户则完全有可能快速注意到频繁与境外主机建立连接的用户。

▲网康下一代防火墙中的目的国家统计

　　又如，仅告知用户当前网络中各种流量的大小，一般的用户并不能以此推导出哪些是异常的，但若将此流量大小与先前同一时间点的情况进行对比，用户则可直接定位出网络中明显激增的流量。

▲网康下一代防火墙以基线方式对比流量异常变化

　　“让用户以更直接、便捷的方式了解到经过分析后的结果，对于用户及时发现问题并快速做出决定作用重大，这有助于用户将防线上提“，熊瑛说。

　　用户需要什么?高效——让响应更及时

　　当用户基于了解到的信息作出决定后，高效的配置策略和规则，并高效的执行成为防火墙是否能够尽早防御威胁的关键。然而，由于配置逻辑复杂，多数用户并不具备快速调整防火墙安全配置的能力，尤其是各种高级功能集成入防火墙后，配置方法更加难以掌握，这无疑又为攻击者提供了时间条件。

　　以一个典型的企业网需求场景为例，用户要求实现允许内网用户访问互联网，并对网页访问开启病毒防护，同时开启对用户PC的入侵防御功能，此外还要禁止电商、炒股网站访问并禁止外传所有Office文档。

　　多数采用非一体化引擎的安全设备，往往需要在不同功能的配置页面下分别完成相应规则的建立，在上述的需求场景中，应首先在策略模块下新建一条允许上网的策略，接着到病毒防护模块下配置一条病毒查杀的规则，然后到入侵防御模块下启用针对用户PC的漏洞防护功能，用户在进行到此步骤时已在三个完全不同的页面下进行了大量复杂的操作，不少用户反映，在配置过程中经常会忘记接下来要配置的功能。

　　而类似下一代防火墙这种采用一体化引擎的设备，由于各功能模块是有机融合在一起的，因此在同一个页面下配置就可以完成上述所有需求，以网康下一代防火墙为例，用户仅需在安全策略页面下新建一条策略，在其高级选项中按照界面约束好的顺序逐步开启病毒防护、入侵防御、URL过滤、数据防泄漏等功能，并且在“Loading-Profile”式的菜单中选择各功能的配置参数。

▲网康下一代防火墙真正实现一体化配置

　　“一体化的策略对于用户而言有两个最大的好处，首先是简化过程、提升效率，即便要启用多个功能也无需频繁跳出到不同的配置页面下;第二是逻辑清晰，绝对不会出现配置过程中忘记下一步的尴尬情况”，网康下一代防火墙用户如是说。